image

Conficker betrokken bij SQL-injectie aanvallen?

woensdag 10 juni 2009, 11:13 door Redactie, 0 reacties

De laatste tijd is het vrij stil rondom de Conficker worm, toch is de dreiging van het mega-botnet nog lang niet voorbij, zo waarschuwen onderzoekers van IBM's ISS. Met Conficker besmette systemen blijken zich namelijk bezig te houden met het uitvoeren van SQL-injectie aanvallen op websites. Het SQL-statement dat de bots gebruiken hangt samen met de “NV32ts” user-agent string, wat vaak het NV32ts botnet wordt genoemd. Volgens onderzoekers Jennifer Szkatulski, John Kuhn en Ryan McNulty lijkt het erop dat de aanvallers zich alleen met verkenning van kwetsbare websites en SQL-databases bezighouden, mogelijk voor gerichte aanvallen.

"Wordt Conficker gebruikt voor het uitvoeren van SQL-injectie aanvallen of het distribueren van de NV32ts bot? Op dit moment kunnen we het niet met zekerheid zeggen." Het is namelijk mogelijk dat onbeschermde machines met meerdere bots besmet raken. Daarnaast kunnen NAT routers ervoor zorgen dat het lijkt dat meerdere hosts van hetzelfde adres afkomstig zijn. Toch zijn er gevallen bekend dat geïnfecteerde Conficker machines met andere malware zijn geüpdatet. De onderzoekers sluiten een verband dan ook niet uit.

"Op het hoogtepunt werd geschat dat er meer dan 9 miljoen Conficker infecties waren. Het aantal infecties is nu veel lager, waardoor het makkelijk is om te vergeten hoeveel schade Conficker kan veroorzaken. Dat zou echter een fout zijn. Conficker en andere botnets zijn in potentie slapende reuzen en de botnetbeheerders kunnen altijd hun lading veranderen. Wat nu nep-virusscanners zijn, is morgen mogelijk de nieuwste zero-day exploit."

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.